Hacker China Luncurkan Serangan Spionase Terselubung terhadap 24 Organisasi Kamboja
Cyberthreat.id - Peneliti keamanan siber aktivitas siber berbahaya yang diatur oleh dua kelompok peretas terkemuka di China. Mereka menargetkan 24 organisasi pemerintah Kamboja.
“Kegiatan ini diyakini sebagai bagian dari kampanye spionase jangka panjang,” kata peneliti Unit 42 Jaringan Palo Alto dalam sebuah laporan pekan lalu sebagaimana dikutip The Hacker News.
“Aktivitas yang diamati ini sejalan dengan tujuan geopolitik pemerintah China yang berupaya memanfaatkan hubungan kuat mereka dengan Kamboja untuk memproyeksikan kekuatan mereka dan memperluas operasi angkatan laut mereka di wilayah tersebut.”
Organisasi-organisasi yang menjadi sasaran mencakup sektor pertahanan, pengawasan pemilu, hak asasi manusia, perbendaharaan dan keuangan nasional, perdagangan, politik, sumber daya alam, dan telekomunikasi.
Penilaian tersebut berasal dari sifat koneksi jaringan masuk yang terus-menerus yang berasal dari entitas-entitas ini ke infrastruktur hacker terkait China yang menyamar sebagai layanan pencadangan dan penyimpanan cloud selama “periode beberapa bulan.”
Beberapa nama domain perintah dan kontrol (C2) tercantum di bawah ini:
- api.infinitycloud[.]info
- koneksi.infinitycloud[.]info
- sambungkan.infinitybackup[.]net
- file.wonderbackup[.]com
- login.wonderbackup[.]com
- pembaruan.wonderbackup[.]com
Taktik ini kemungkinan merupakan upaya penyerang untuk tidak terdeteksi radar dan berbaur dengan lalu lintas jaringan yang sah.
Terlebih lagi, tulis The Hacker News, kaitan dengan China didasarkan pada fakta bahwa aktivitas pelaku ancaman terlihat terutama selama jam kerja reguler di negara tersebut, dengan penurunan tercatat pada akhir September dan awal Oktober 2023, bertepatan dengan hari libur nasional Golden Week, sebelum melanjutkan ke level reguler pada 9 Oktober.
Kelompok peretas yang berhubungan dengan China seperti Emissary Panda, Gelsemium, Granite Typhoon, Mustang Panda, RedHotel, ToddyCat, dan UNC4191 telah meluncurkan serangkaian kampanye spionase yang menargetkan sektor publik dan swasta di seluruh Asia selama setahun terakhir.
Bulan lalu, Elastic Security Labs merinci rangkaian intrusi dengan nama kode REF5961 yang ditemukan memanfaatkan pintu belakang khusus seperti EAGERBEE, RUDEBIRD, DOWNTOWN, dan BLOODALCHEMY dalam serangannya yang ditujukan terhadap negara-negara Perhimpunan Bangsa-Bangsa Asia Tenggara (ASEAN).
Kelompok peretas yang berhubungan dengan China seperti Emissary Panda, Gelsemium, Granite Typhoon, Mustang Panda, RedHotel, ToddyCat, dan UNC4191 telah meluncurkan serangkaian kampanye spionase yang menargetkan sektor publik dan swasta di seluruh Asia selama setahun terakhir.
Bulan lalu, Elastic Security Labs merinci rangkaian intrusi dengan nama kode REF5961 yang ditemukan memanfaatkan pintu belakang khusus seperti EAGERBEE, RUDEBIRD, DOWNTOWN, dan BLOODALCHEMY dalam serangannya yang ditujukan terhadap negara-negara Perhimpunan Bangsa-Bangsa Asia Tenggara (ASEAN).
Keluarga malware tersebut “ditemukan sebagai penghuni bersama dengan kumpulan intrusi yang dilaporkan sebelumnya, REF2924,” yang terakhir dinilai sebagai kelompok yang selaras dengan China karena penggunaan ShadowPad dan tumpang tindih taktis dengan Winnti dan ChamelGang.
Pengungkapan ini juga mengikuti laporan dari Recorded Future yang menyoroti pergeseran aktivitas spionase dunia maya di China, menggambarkannya sebagai aktivitas yang lebih matang dan terkoordinasi, dan dengan fokus yang kuat pada eksploitasi kelemahan yang diketahui dan zero-day pada server email, keamanan, dan jaringan publik. peralatan.
Sejak awal 2021, kelompok yang dituduh disponsori negara China tersebut telah dikaitkan dengan eksploitasi 23 kerentanan zero-day, termasuk yang diidentifikasi di Microsoft Exchange Server, Solarwinds Serv-U, Sophos Firewall, Fortinet FortiOS, Barracuda Email Security Gateway, dan Atlassian Pusat Data dan Server Pertemuan.
Operasi siber yang disponsori negara telah berevolusi “dari pencurian kekayaan intelektual secara luas menjadi pendekatan yang lebih bertarget yang mendukung tujuan strategis, ekonomi, dan geopolitik tertentu, seperti yang terkait dengan Inisiatif Sabuk dan Jalan (BRI) dan teknologi penting,” kata perusahaan itu sebagaimana dikutip The Hacker News.[]